GUERRA CIBERNÉTICA

Prévia do material em texto

Universidade Federal do Rio de Janeiro 
 
Instituto Tércio Pacitti de Aplicações e 
Pesquisas Computacionais 
 
 
 
 
Cláudia da Silva Mendonça 
 
 
 
GUERRA CIBERNÉTICA: 
 Desafios de uma Nova Fronteira 
 
 
 
 
Rio de Janeiro 
2014 
 
 
 
 
Cláudia da Silva Mendonça 
 
 
 GUERRA CIBENÉTICA: 
Desafios de uma Nova Fronteira 
 
 
 
Monografia apresentada para obtenção do título de 
Especialista em Gerência de Redes de Computadores no 
Curso de Pós-Graduação Lato Sensu em Gerência de 
Redes de Computadores e Tecnologia Internet do Instituto 
Tércio Pacitti de Aplicações e Pesquisas Computacionais 
da Universidade Federal do Rio de Janeiro – NCE/UFRJ. 
 
Orientador: 
Claudio Miceli de Farias, M.Sc., UFRJ, Brasil 
 
 
Rio de Janeiro 
2014 
 
 
AGRADECIMENTOS 
 
A Deus que mostrou Seu fôlego de vida em mim, me sustentou e me deu coragem 
para questionar a realidade e propor sempre um novo mundo de possibilidades... 
Sem a ajuda Dele eu não sou nada. 
 
A minha mãe Helle-nice e meu esposo Roberto que acreditaram em mim, me deram 
a esperança para seguir em frente, apesar das dificuldades, a segurança e certeza 
de que não estou sozinha nesta caminhada. Só vocês entendem o meu objetivo, 
falta de tempo, o cansaço, a necessidade de isolamento que a escrita exige. 
Obrigada pelo apoio neste momento tão difícil. 
 
Ao Professor e orientador Claudio Miceli de Farias pelo seu apoio e inspiração no 
amadurecimento dos meus conhecimentos e conceitos que me levaram à conclusão 
desta monografia. 
 
Aos amigos e professores Alexandre Ramos e Marcelo Ribeiro que me despertaram 
o desejo de trilhar este caminho e me mostraram alguns pontos de pesquisa. 
 
A minha amiga Roberta pela sua amizade e companheirismo em todos estes anos, 
pelos seus inúmeros conselhos e pelas palavras de estímulos, que muito me 
ajudaram a continuar a caminhada. 
 
Aos colegas de especialização pela oportunidade de convívio e, em especial, ao 
amigo de turma Sergio Machado que, com muita paciência e atenção, dedicou um 
pedaço do seu tempo para me apoiar e incentivar durante todo o curso, tanto nesta 
pesquisa quanto no nosso cotidiano de aulas presenciais. 
 
Aos meus companheiros de trabalho que contribuíram para que eu pudesse subir 
mais este degrau. Vocês são os profissionais que me inspiram diariamente. 
 
 
 
RESUMO 
MENDONÇA, Cláudia da Silva. GUERRA CIBERNÉTICA: Desafios de uma Nova 
Fronteira. Monografia (Especialização em Gerência de Redes e Tecnologia 
Internet). Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais, 
Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2014. 
 
 
 Com o avanço da tecnologia da informação e comunicações (TIC) aliado ao 
aumento de acessos à Internet e redes sociais, o grande desafio da Era Digital é a 
construção de um ambiente no País que permita identificar, monitorar e mitigar os 
riscos cibernéticos, impulsionando o desenvolvimento de ações preventivas, pró-
ativas, reativas e de repressão a todo o tipo de ameaça, a fim de assegurar e 
defender os interesses do país e da sociedade brasileira. 
Os tipos de ataques de negação de serviço, as tentativas de interceptação de 
trafego e a engenharia social, são algumas armas que estes cibercriminosos 
possuem e do outro lado desta guerra, temos algumas ferramentas e equipamentos 
que nos auxiliam na proteção da rede. 
 Este trabalho de conclusão de curso apresenta alguns ataques ocorridos no 
mundo que deram início a era cibernética, algumas técnicas de ataque e ferramentas 
de defesa, bem como propõe uma solução de defesa para proteger as infraestruturas 
críticas do País e das organizações. 
 
 
Palavra-chave: Guerra Cibernética. 
 
 
 
 
ABSTRACT 
MENDONÇA, Cláudia da Silva. GUERRA CIBERNÉTICA: Desafios de uma Nova 
Fronteira. Monografia (Especialização em Gerência de Redes e Tecnologia 
Internet). Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais, 
Universidade Federal do Rio de Janeiro. Rio de Janeiro, 2014. 
 
 
The advancement of Information and Communication along with increased 
access to the Internet and social networks, the challenge of the digital age is to build 
an environment that allows the country to identify, monitor and mitigate cyber risks, 
boosting the development of preventive, proactive, reactive and repressive actions to 
any kind of threat, in order to secure and defend the interests of the country and the 
Brazilian society. 
The types of denial of service attacks, intrusion attempts and social 
engineering are the weapons that these cybercriminals have and the other side of 
this war, we have some tools and equipment that assist us in protecting the network. 
This course conclusion work presents some attacks in the world who started 
the cyber age some techniques of attack and defense tools, and proposes a solution 
of defense to protect the critical infrastructure of the country and organizations. 
 
 
Keyword: CyberWar. 
 
 
 
LISTA DE FIGURAS 
 Página 
Figura 1 – Total de incidentes reportados ao CERT.br 22 
Figura 2 – Disseminação da ameaça Flame 28 
Figura 3 – Ataque DDoS 35 
Figura 4 - Three-Way Handshake 38 
Figura 5 – Stateless Firewall 39 
Figura 6 – SIEM 57 
Figura 7 – Posicionamento do IPS 59 
Figura 8 – Ataque DRDoS 64 
Figura 9 – SIEM 66 
Figura 10 – Anti-DDoS 70 
Figura 11 – Defesa em Profundidade 72 
 
 
LISTA DE ABREVIATURAS E SIGLAS 
ACK Acknowledge 
AP Access Point 
APF Administração Publica Federal 
ARP Address Resolution Protocol 
CLP Controlador Lógico Programável 
DDoS Distributed Denial of Service 
DLP Data Loss Prevention 
DNS Domain Name System 
DoS Denial of Service 
DRDoS Distributed Reflection Denial of Service 
ESSID Extended Service Set Identification 
FFAA Forças Armadas 
FTP File Transfer Protocol 
GC Guerra Cibernética 
HD Hard Disk 
HIDS Host-based Intrusion Detection system 
HPPTS Hypertext Transfer Protocol Secure 
HTTP Hypertext Transfer Protocol 
ICMP Internet Control Message Protocol 
IDS Intrusion Detection System 
IGMP Internet Group Management Protocol 
IP Internet Protocol 
IPS Intrusion Prevention Systems 
IPSEC IP Security Protocol 
MAC Media Access Control 
MITM Man-in-the-Middle 
MSVC Microsoft Visual Studio Compiler 
NIDS Network Intrusion Detection System 
OO Object Oriented 
POP Post Office Protocol 
SI Segurança da Informação 
SID Segurança das Informações Digitais 
SIEM Security Information and Event Management 
SMTP Simple Mail Transfer Protocol 
SQL Structured Query Language 
SSH Secure Shell 
SSL Secure Sockets Layer 
SYN Synchronize 
TCP Transmission Control Protocol 
TFN Tribe Floof Network 
TI Tecnologia da Informação 
TIC Tecnologias da Informação e Comunicação 
TLS Transport Layer Security 
UDP User Datagram Protocol 
URL Uniform Resource Locator 
VPN Virtual Private Network 
WAF Web Application Firewall 
 
SUMÁRIO
1 INTRODUÇÃO .............................................................................................11 
1.1 MOTIVAÇÃO ................................................................................................12 
1.2 RELEVÂNCIA...............................................................................................13 
1.3 RESULTADOS ESPERADOS ......................................................................13 
1.4 OBJETIVO....................................................................................................14 
1.5 ORGANIZAÇÃO ...........................................................................................14 
2 ASPECTOS GERAIS SOBRE GUERRA CIBERNÉTICA............................15 
2.1 GUERRA DA INFORMAÇÃO .......................................................................15 
2.2 ESPAÇO CIBERNÉTICO .............................................................................18 
2.3 GUERRA CIBERNÉTICA .............................................................................18 
2.4 PRINCÍPIOS DA GUERRA CIBERNÉTICA..................................................202.5 ATAQUES CIBERNÉTICOS.........................................................................21 
2.5.1 Caso Estonia...............................................................................................23 
2.5.2 Caso Stuxnet...............................................................................................24 
2.5.3 Caso Duqu...................................................................................................26 
2.5.4 Caso Flame .................................................................................................27 
3 MÉTODOS, TÉCNICAS E FERRAMENTAS DE ATAQUES .......................30 
3.1 MÉTODOS E TÉCNICAS USADOS EM UM ATAQUE CIBERNÉTICO .......30 
3.1.1 Port Scanning .............................................................................................30 
3.1.2 Engenharia Social.......................................................................................31 
3.1.2.1 Phishing........................................................................................................32 
3.1.2.2 Dumper Driver ou Trashing ..........................................................................32 
3.1.3 Denial-of-Service (DoS) ..............................................................................33 
3.1.3.1 Distributed Denial-of-Service (DoS)..............................................................34 
3.1.3.2 Distributed Reflection Denial-of-Service (DDoS) ..........................................37 
3.1.3.3 SYN Flood ou TCP SYN Flood.....................................................................38 
3.1.3.4 UDP Flood ....................................................................................................41 
3.1.3.5 Smurf ............................................................................................................42 
3.1.3.6 Fraggle .........................................................................................................43 
3.1.3.7 Ping Flood ....................................................................................................43 
3.1.4 Man-in-the-Middle (MITM) ..........................................................................44 
3.1.5 Web Defacement.........................................................................................45 
3.2 FERRAMENTAS DE ATAQUE.....................................................................46 
3.2.1 Varredura de rede .......................................................................................47 
3.2.1.1 Nmap e Nessus ............................................................................................47 
3.2.1.2 Aircrack-ng e Aerodump ...............................................................................47 
3.2.1.3 Nikto .............................................................................................................48 
3.2.2 Negação de serviço ....................................................................................48 
3.2.2.1 Trinoo ...........................................................................................................48 
3.2.2.2 Tribe Flood Network (TFN) ...........................................................................49 
3.2.2.3 Stacheldraht .................................................................................................50 
3.2.2.4 T50 ...............................................................................................................51 
3.2.2.5 Slow Loris .....................................................................................................52 
3.2.3 Interceptação de conexão..........................................................................53 
3.2.3.1 Ethercap .......................................................................................................53 
3.2.3.2 SSLStrip .......................................................................................................53 
3.2.3.3 Dsniff ............................................................................................................55 
 
 
4 FERRAMENTAS DE DEFESA.....................................................................56 
4.1 ANTIVÍRUS ..................................................................................................56 
4.2 FIREWALL....................................................................................................56 
4.2.1 Packet Filtering...........................................................................................57 
4.2.2 Statefull Firewall .........................................................................................58 
4.2.3 Firewall de Aplicação ou Proxy de Serviços............................................58 
4.3 SISTEMA DE DETECÇÃO DE INTRUSOS (IDS) ........................................60 
4.3.1 Baseado em host (HIDS) ............................................................................62 
4.3.2 Baseado em rede (NIDS) ............................................................................62 
4.3.3 IDS Híbrido ..................................................................................................63 
4.4 SISTEMA DE PREVENÇÃO DE INTRUSOS (IPS) ......................................63 
4.5 SECUTITY INFORMATION AND EVENT MANAGEMENT (SIEM)..............65 
4.6 REDE VIRTUAL PRIVADA (VPN) ................................................................66 
4.7 WEB APLICATION FIREWALL (WAF) .........................................................67 
4.8 DATA LOST PREVENTION (DLP) ...............................................................68 
4.9 ANTI-DDOS ..................................................................................................69 
5 ABORDAGEM INTEGRADA........................................................................71 
5.1 MODELO DE CAMADAS DA DEFESA EM PROFUNDIDADE ....................71 
6 CONCLUSÃO...............................................................................................77 
REFERÊNCIAS.........................................................................................................79 
 
11 
 
 
 
 1 INTRODUÇÃO 
Com a necessidade crescente de gerenciamento da informação distribuída 
em pontos fisicamente diferentes movido por uma economia altamente competitiva e 
instável, surgiu a Era da Tecnologia da Informação (TI) 1. 
Novas tecnologias e métodos para se comunicar surgiram no contexto da 
Revolução Informacional e foram desenvolvidas gradativamente nos anos 90. Estas 
tecnologias utilizam a digitalização e a comunicação em redes para a transmissão e 
distribuição das informações. O advento da TI possibilitou o surgimento do que se 
pode chamar de "sociedade da informação". 
A partir daí, a TI se transformou em base de todos os ramos do 
conhecimento, criando uma dependência cada vez maior. Porém, além dos 
inúmeros serviços prestados, as vulnerabilidades2 são proporcionais a sua 
grandiosidade, sendo muitas vezes exploradas por pessoas mal intencionadas, que 
buscam vantagens com a exploração da falta de regras e são acobertadas pela 
distância e pelo aparente anonimato. 
Logo se percebeu a possibilidade de explorar os recursos e as 
vulnerabilidades da TI sobre as infraestruturas críticas de um Estado, a fim de se 
obter informações confidenciais, realizar sabotagens ou mesmo ter vantagem 
durante a ocorrência de conflitos, independentemente dos atores envolvidos. Esta 
exploração das vulnerabilidades pode ser realizada por individuo, grupo ou por um 
Estado, sendo chamados de ataques cibernéticos ou guerra cibernética (GC). 
A guerra na era da globalização mudou em sua lógica, apresentando-se com 
um novo formato. As mudanças não foram nos instrumentos da guerra, na 
 
1 TI (Tecnologia da Informação) – É o conjunto de todas as atividades e soluções providas por 
recursos de computação que visam permitir a produção, armazenamento, transmissão, acesso eo 
uso das informações. (ALECRIM, 2011). 
2 Vulnerabilidade - Qualquer ponto fraco, processo ou ato administrativo ou exposição física que 
torne um computador suscetível à exploração por uma ameaça (MICROSFT, 2006) 
http://pt.wikipedia.org/wiki/Atividade_(engenharia_de_software)
http://pt.wikipedia.org/wiki/Escrita
12 
 
 
tecnologia dos meios empregados no seu planejamento e execução, nos modelos 
de condução da guerra ou nos tipos de guerra e sim na natureza da guerra, suas 
funções e eficiência de suas ações. 
Atualmente, ser o maior em poder bélico e grande quantidade de 
combatentes já não é garantia de inviolabilidade, pois não sabemos onde está o 
inimigo, uma vez que a internet não tem fronteira física. 
A combinação de velhos valores e novas tecnologias gera desconforto, 
desconfiança e desacordo entre os países, então os ataques cibernéticos se 
apresentam em uma escalada mundial crescente, silenciosa e se caracterizam como 
um dos grandes desafios do século XXI. Todas as pessoas, empresas, governos e 
entidades que utilizam o espaço cibernético estão expostos a riscos. 
 Com o aumento da independência dos sistemas digitais aliado à 
conectividade global, a informação passa a ser um ativo crucial para os países 
administrarem sua segurança nacional e coletiva, objeto permanente da atenção das 
forças armadas e governo. 
 
 1.1 MOTIVAÇÃO 
Os desafios de uma nova modalidade de guerra, o conhecimento de novos 
conceitos e o desejo de fazer desta pesquisa um ponto inicial para estudos mais 
detalhados e, assim, a oportunidade de novos debates e possível crescimento do 
País neste setor foram alguns dos motivos que contribuíram para que houvesse uma 
persistência neste tema de pesquisa. 
 
13 
 
 
 1.2 RELEVÂNCIA 
A GC por ser assimétrica, barata e altamente destrutiva, faz com que povos 
mais fracos consigam entrar em conflito com grandes potências e lutar em 
igualdade, o que não acontecia nas guerras tradicionais do passado. 
Atualmente, sabemos que nenhuma nação está completamente protegida 
contra ataques virtuais, sendo necessário que o atacante seja patrocinado por uma 
estatal e tenha motivações políticas intrínsecas para realizar tais ataques, o que 
necessitaria de uma estrutura e estratégia de guerra clássica. 
Diante do aumento dos ataques envolvendo conflitos entre países, há a 
necessidade um estudo mais detalhado, então este trabalho analisa os pontos 
importantes de algumas técnicas e ferramentas de ataque e defesa, que podem 
mostrar a superioridade ou fragilidade do Pais diante desta tão potente guerra 
virtual, a qual utiliza o ciberespaço como Teatro das operações para enfraquecer e 
causar caus ao inimigo. 
 
 1.3 RESULTADOS ESPERADOS 
O Brasil atualmente está iniciando nesta área e possui uma postura defensiva 
sobre este tema, possuindo somente ações para prevenir o ataque, então é 
necessário uma evolução desta postura, a fim de nos prepararmos para retribuir tais 
ofensivas, e a conscientização da sociedade, os treinamentos e as simulações são 
pontos primordiais para este crescimento. 
Da mesma forma, com este estudo esperamos alcançar uma maior 
especialização nacional nesta área, a fim de podermos ter uma postura pró-ativa, 
avaliando as vulnerabilidades e potenciais ameaças às estruturas críticas do País. 
 
14 
 
 
 1.4 OBJETIVO 
O trabalho tem como objetivo analisar os desafios deste novo paradigma de 
guerra, apresentar métodos e técnicas de ataque, ferramentas de defesa, 
vulnerabilidades que representam potenciais ameaças e os impactos das dinâmicas 
da Guerra Cibernética na sociedade da informação, focando nas perspectivas das 
Forças Armadas. 
 
 1.5 ORGANIZAÇÃO 
O trabalho está organizado da seguinte forma: 
 No capítulo 2 é apresentada uma breve explanação sobre conceitos clássicos de 
guerra e alguns conceitos usados em segurança Cibernética, princípios e GC e 
principais ataques cibernéticos ocorridos nos últimos anos. 
 No capítulo 3 será elucidado sobre os métodos, técnicas e ferramentas de 
ataques mais comuns e as vulnerabilidades exploradas. 
 No capitulo 4 será mostrado as ferramentas de defesa mais utilizadas em 
ataque. 
 No capitulo 5 será proposto uma abordagem integrada como melhor forma de 
proteção dos ataques cibernéticos. 
 Por fim, serão apresentadas na conclusão as medidas a serem adotadas pelo 
País para se proteger de ataques e para minimizar seus efeitos e o que esperar do 
futuro nesta área. 
 
 
 
15 
 
 
 
 2 ASPECTOS GERAIS SOBRE GUERRA CIBERNÉTICA 
A constante evolução tecnológica ocorrida nos últimos anos resultou em 
grandes benefícios para a Sociedade, porém, trouxe problemas relacionados à 
segurança da informação digital3 (SID) que são frutos dessa própria evolução 
tecnológica, a qual possibilitou a integração cada vez maior de ambientes e de redes 
diferentes. 
Com esta evolução crescente, ameaças também surgiram para explorar estas 
novas descobertas e a segurança da informação (SI) deve estar muito bem 
implementada e massificada na mente dos usuários e profissionais de TI, a fim de 
evitar a ocorrência de incidentes que possam afetar a todos. 
A TI cria a necessidade do Estado adaptar suas estratégias de emprego da 
força a esta nova ferramenta. A informação é um bem público a ser protegido e 
controlado, servindo como uma arma na luta por territórios, por credibilidade e na 
guerra de ideias (MANJIKIAN, 2010). 
 Com esta evolução, alguns termos são relativamente novos e passaram a 
fazer parte da rotina dos profissionais da área de TI nas esferas empresariais e 
governamentais. Estes conceitos têm sido muito discutidos e estudados por 
especialistas e vem levantando a necessidade de preocupação com os seus 
impactos, então antes de evoluir no pensamento sobre estes termos, é necessário 
certificar-se do que cada um deles representa. 
 
 2.1 GUERRA DA INFORMAÇÃO 
O avanço da tecnologia proporcionou novas formas de se comunicar, ao 
mesmo tempo em que trouxe dependências e vulnerabilidades às organizações e 
 
3 Segurança da Informação digital (SID) – É a proteção da informação de vários tipos de ameaças 
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os 
investimentos e as oportunidades de negócio (ISO 27002, 2005). 
16 
 
 
com isso surgiu a disputa pelo recurso da informação, a qual deve ser administrada 
de forma diferenciada, servindo de recurso essencial estratégico de um governo ou 
organização. 
Na ultima década, o controle da informação está substituindo a segurança 
nacional como prioridade estratégica das grandes potências. Esta é uma mudança 
significativa no mundo atual, mostrando o papel que a informação passou a ter não 
só no dia a dia das pessoas, mas como estratégia política de uma nação 
(CASTILHO, 2013). 
Com a evolução da tecnologia da informação há a necessidade do Estado 
adaptar suas estratégias, uma vez que a informação é o bem a ser controlado e 
serve de arma a favor do domínio por um território, por atendimento de interesses 
nacionais, pelo poder e por credibilidade. As nações utilizam diferentes estratégias 
virtuais para alcançar os mesmos objetivos reais, unindo a guerra virtual à guerra 
real, a fim de desmobilizar o inimigo. 
A mídia vem noticiando constantemente os termos “Guerra da Informação”, 
“Guerra Eletrônica”, “Guerra Cibernética” e “Guerra Assimétrica” como sinônimos e 
percebemos a falta de consenso entre estudiosos na definição destes termos, mas 
podemos definir Guerra da Informação, como um conflito onde o alvo é a informação 
(SCHWARTAU,1994). 
E Guerra Cibernética é um subconjunto da guerra da informação, que envolve 
ações realizadas na Internet e nas redes a ela relacionadas (PARKS; 
DUGGAN,2001). 
Já a Guerra Eletrônica é entendida como ações que visam o controle e 
domínio do espectro eletromagnético paraimpedir, reduzir ou prevenir seu uso 
contra os interesses do país (BRASIL, 1999). 
17 
 
 
 
A Guerra da Informação tem o objetivo de alcançar a superioridade 
informacional frente ao oponente (WU, 2006), num contexto de competição ou 
operação militar, onde terá melhores condições para vencer aquele que conseguir 
se antecipar à execução dos ataques4 e, assim, reagir ofensivamente com a maior 
rapidez possível. Para isso, é necessário ter ferramentas de monitoramento e 
pessoal qualificado para rastrear possíveis ataques. 
Existem conceitos básicos que estão sendo delineados pelos especialistas da 
área de Segurança da informação e concordam que os atributos disponibilidade, 
integridade, confidencialidade são os principais e que melhor definem as 
propriedades da SI (KRAUSE, 1999), porém o Comitê Gestor de Segurança da 
Informação (CGSI)5, entende que o atributo autenticidade tem a mesma importância 
que os termos supracitados. 
Apesar de reconhecer que outros autores trabalham com outros atributos, 
KRAUSE (1999) prefere manter o foco nesses três princípios básicos para garantir a 
SI: 
• Confidencialidade. A informação somente pode ser 
acessada por pessoas explicitamente autorizadas. É a 
proteção de sistemas de informação para impedir que 
pessoas não autorizadas tenham acesso. 
 
• Disponibilidade. A informação deve estar disponível no 
momento em que a mesma for necessária. 
• Integridade. A informação deve ser recuperada em sua 
forma original (no momento em que foi armazenada). É a 
proteção dos dados ou informações contra modificações 
intencionais ou acidentais não autorizadas. 
 
 
4 Ataque é o conjunto de ações que tentem comprometer a integridade, confiabilidade ou 
disponibilidade de um recurso computacional (BOFF, 2009). 
5 Comitê Gestor de Segurança da Informação (CGSI) - Comitê que assessora a Secretaria Executiva 
do Conselho de Defesa Nacional, na consecução das diretrizes da Política de Segurança da 
Informação, nos órgãos e nas entidades da Administração Pública Federal, bem como na avaliação 
e análise de assuntos relativos aos objetivos estabelecidos no Decreto Nº 3505 de 13 de junho de 
2000. 
18 
 
 
 
 2.2 ESPAÇO CIBERNÉTICO 
O mundo cibernético (Cyber War) é qualquer realidade virtual 6, numa coleção 
de computadores e redes. Existem diversos mundos cibernéticos, mas o mais 
relevante para a Guerra Cibernética é a Internet e as redes a ela relacionadas, as 
quais compartilham mídia com a Internet (PARKS; DUGGAN, 2001). 
 Para estes autores, o mundo cibernético é uma realidade virtual que se 
contrapõe à guerra cinética, definida como a guerra praticada no mundo real. 
É muito difícil falarmos em fronteiras físicas no espaço cibernético 
(ciberespaço), uma vez que não temos como definir os seus limites e a soberania de 
cada Estado, juntamente com a dificuldade em definirmos a identidade das pessoas 
que se apresentam por seus apelidos (nicknames) e nem delinearmos suas ações. 
Desta forma, o ciberespaço é um não-lugar: sem fronteiras, sem raízes, sem história 
(AUGE, 1994). 
Diante disso, como identificarmos a fronteiras do espaço cibernético? A 
questão desta nova fronteira encontra-se no limbo jurídico, não está perfeitamente 
demarcada e sem regras bem definidas, o que impossibilita o Estado de aplicar a lei, 
havendo a necessidade eminente de um estudo detalhado sobre este assunto, a fim 
de definir as fronteiras do ciberespaço e as responsabilidades de cada nação. 
 
 2.3 GUERRA CIBERNÉTICA 
É uma nova modalidade de guerra que vem assustando a todo o mundo, onde 
o ciberespaço e tecnologias de informação são o cenário principal em vez do campo 
 
6 Realidade Virtual – Este termo foi creditado à Jaron Lanier, fundador da VPL Research Inc., que o 
cunhou, no início dos anos 80, para diferenciar as simulações tradicionais feitas por computador de 
simulações envolvendo múltiplos usuários em um ambiente compartilhado (ARAÚJO, 1996). 
 
19 
 
 
de batalha convencional e os conflitos não possuem armas físicas, mas o confronto 
é realizado com meio eletrônicos no mundo virtual. 
Devido a este tipo de guerra ser muito atual, então este assunto possui várias 
definições em várias obras diferentes, entretanto, neste trabalho, será considerado o 
conceito apresentado no Manual MD35-G-01, (BRASIL, 2007): 
Conjunto de ações para uso ofensivo e defensivo de informações e 
sistemas de comunicações para negar, explorar, corromper ou destruir 
valores do adversário baseados em informações, sistemas de 
informação e redes de computadores. Estas ações são elaboradas 
para obtenção de vantagens tanto na área militar quanto na área civil. 
(BRASIL, 2007). 
 
Apesar de não haver um acordo na definição deste tema, um aspecto que 
todos os autores concordam é que para ocorrer a GC é necessária a existência de 
motivação estratégica ou política realizada por ou contra um País, então atividades 
realizadas com motivações pessoais não podem ser consideradas como sendo GC, 
embora possam ser igualmente prejudiciais. 
Na visão do Ministério da Defesa (MD), conforme o definido no Manual MD30-
M-01 das Forças Armadas (BRASIL, 2011), a GC é composta das seguintes ações: 
• Exploração Cibernética – consiste em ações de busca, nos Sistemas 
de Tecnologia da Informação de interesse, a fim de obter dados, de 
forma não autorizada, para a produção de conhecimento e/ou 
identificar as vulnerabilidades desses sistemas (BRASIL, 2011). 
 
• Ataque Cibernético – compreende ações para interromper, negar, 
degradar, corromper ou destruir informações armazenadas em 
dispositivos e redes computacionais e de comunicações do oponente 
(BRASIL, 2011). 
 
• Proteção Cibernética – abrange as ações para neutralizar ataques e 
exploração cibernética contra os nossos dispositivos computacionais e 
redes de computadores e de comunicações, incrementando as ações 
de Segurança Cibernética em face de uma situação de crise 
ou conflito armado. (BRASIL, 2011). 
20 
 
 
; 
 
As ações de exploração e ataque cibernéticos são realizadas em conjunto, a 
fim de ter o controle da Infraestrutura Criticas de informações7, obter dados sigilosos 
e indisponibilizar todos os sistemas indispensáveis do inimigo e, com isso, acabar 
com o poder do inimigo. Já as ações defensivas de proteção cibernética empregará 
procedimentos e dispositivos para se contrapor às táticas que podem ser 
empregadas pelo oponente. 
 
 2.4 PRINCÍPIOS DA GUERRA CIBERNÉTICA 
A partir do trabalho inicial de PARKS e DUGGAN, apresentado no Seminário 
de SI da Academia Militar dos Estados Unidos da América (USMA) 8, em 2001, foi 
verificado que alguns princípios da Guerra Tradicional não se aplicavam ao mundo 
virtual, sendo necessário propor novos princípios em um estudo posterior (CAHILL; 
ROZINOV; MULÉNUM, 2003): 
 O ataque cibernético 9 só faz sentido se produzir algum efeito no mundo real 
e com isso obter algumas vantagens por meio das suas ações realizadas
 Todo ato feito no mundo virtual é visível, mesmo que medidas para dissimular 
sejam realizadas; 
 No mundo virtual não possível prever com exatidão o comportamento 
resultante de uma ação tomada, devido à natureza imprevisível da operação 
de equipamentos e programas, exceto aquelas que refletem uma ação 
tomada no mundo físico; 
 
7 Infraestrutura Critica de Informações – É o subconjunto dos ativos de informação que afetam 
diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade 
(MANDARINO, 2010). 
8 United States Military Academy (USMA) – É conhecida também como Academia de West Point, ou 
simplesmente pela sua sigla em inglês, USMA, é uma Academia Federal de Educação Militar de 4 
anos, do Exército dos Estados Unidos, localizada em West Point, Nova Iorque. 
9 Ataque Cibernético - Compreende ações para interromper,negar, degradar, corromper ou destruir 
informações armazenadas em dispositivos e redes computacionais e de comunicações do oponente 
(EB, 2013). 
http://pt.wikipedia.org/w/index.php?title=West_Point_(Nova_Iorque)&action=edit&redlink=1
21 
 
 
 
 O atacante pode assumir a identidade de outra pessoa para realizar 
atividades no mundo cibernético; 
 As ferramentas de GC podem servir tanto para o ataque quanto para a 
defesa; 
 O mundo virtual não é confiável. Os equipamentos e programas nem sempre 
produzem resultado da forma que esperamos, impossibilitando a certeza de 
que a próxima ação cibernética irá funcionar; 
 Não existe distância física no mundo cibernético e esta não é obstáculo na 
condução de um ataque, então ações realizadas em diferentes localidades 
terão a mesma eficiência, dificultando a detecção da origem de ataques; e 
 Quem controlar a parte do ciberespaço que o oponente utiliza, pode controlar 
o oponente (PARKS e DUGGAN, 2001). 
 
 2.5 ATAQUES CIBERNÉTICOS 
 Tem sido noticiado na mídia o crescimento de 42% dos ataques direcionados 
à espionagem industrial, no ano de 2012, incluindo a descoberta de 14 
vulnerabilidades zero-day10 e o aumento de 30% dos ataques Web, conforme 
revelou o Relatório de Ameaças à Segurança na Internet (ISTR) (SYMANTEC, 
2012). 
O relatório mostrou que os cibercriminosos não estão reduzindo suas 
atividades e continuam a planejar novas maneiras de roubar informações de 
organizações de todos os tamanhos. As sofisticações dos ataques combinadas com 
a atual complexidade da TI exigem que as empresas se mantenham pró-ativas e 
 
10 Vulnerabilidade Zero-Day – É aquela reportada por ter sido explorada em seu estado selvagem, 
antes da vulnerabilidade ser de conhecimento público e de ter uma atualização disponível 
(SYMANTEC, 2012). 
22 
 
usem medidas de segurança com defesa avançada para prevenir ataques, afirmou 
André Carrareto, Estrategista em Segurança da Symantec para o Brasil. 
 
 
Figura 1 – Total de incidentes reportados ao CERT.br no período de JUL a 
SET2013. Fonte: CERT.BR, 2013a. 
 
 
 O limiar para se definir ataque cibernético e guerra no ciberespaço é muito 
tênue (LEWIS, 2010). Para ele, guerra cibernética deve ser entendida como o uso 
da força, pelos Estados ou grupos políticos, para causar destruição, danos ou 
vítimas de efeito político ou estratégico. Estas ações atingem as infraestruturas 
críticas de informações de um País, sendo decisiva e por si só gerar a vitória no 
combate. 
Enquanto que um ataque cibernético é uma ação realizada por um indivíduo 
ou grupo individual com o intuito de provocar danos (físicos, financeiros ou morais), 
destruição ou vítimas sem que tenham o objetivo de obter uma vantagem 
estratégica. 
 
 
23 
 
 
 
 2.5.1 Caso Estonia 
O ataque feito contra a Estônia mostrou na realidade a capacidade que tem 
um ataque cibernético (CLARK e KNAKE, 2010), protagonizando a primeira guerra 
virtual e sendo um divisor de águas em termos da ampla conscientização acerca da 
vulnerabilidade da sociedade moderna. 
A Estonia é um país que tem sua infraestrutura totalmente informatizada, os 
serviços essenciais são virtualizados. 
 Após a retirada de uma estátua de bronze em Abril de 2007, a qual 
comemorava os soldados do Exército Vermelho que combateram os nazistas na 
Segunda Guerra Mundial, estourou o estopim da, até então conhecida, primeira GC 
(essa data ficou conhecida posteriormente como “The Night Bronze”) (SHEETER, 
2007). 
O Governo estoniano disse ao site BBC11 que seus sites e muitos sites de 
empresas e bancos do país estão sendo bombardeados por uma enorme 
quantidade de pedidos de informação, acima da capacidade de processamento dos 
seus servidores, obstruindo os servidores e roteadores, com isso os serviços 
essenciais saíram do ar, deixando aquele pequeno país completamente 
desconectado. 
A fim de ampliar o ataque, os hackers12 infiltraram computadores em todo o 
mundo com softwares, conhecidos como botnets13, para realizar os ataques 
coordenados. 
A partir desse fato, fica evidenciado que um ataque de negação de serviço 
 
11 Conforme noticiado no site da BBC, disponível em http://www.bbc.co.uk/portuguese 
/reporterbbc/story/2007/05/070517_estoniaataquesinternetrw.shtml. 
12 Hacker – É o indivíduo hábil em enganar os mecanismos de segurança de sistemas de 
computação e conseguir acesso não autorizado aos recursos, a partir de uma conexão remota em 
uma rede de computadores. (FERREIRA, 1999). 
13 Botnets - É uma rede formada por centenas ou milhares de computadores zumbis e que permite 
potencializar as ações danosas executadas pelos bots (CERT.BR, 2013b). 
24 
 
 
 
distribuído (DDoS - Distributed Denial of Service)14 bem sucedido pode não 
comprometer a infraestrutura física de um País, mas certamente causa danos e 
prejuízos, além do efeito psicológico. Com isso, o País perdeu sua força de ataque 
sem que nenhuma vida humana se perdesse pelo motivo do ataque cibernético. 
 
 2.5.2 Caso Stuxnet 
Em Junho de 2010, foi descoberto o malware15 chamado STUXNET, o qual 
marcou o início da década do terrorismo cibernético, com armas e guerras virtuais, 
sendo projetado para danificar fisicamente os equipamentos de controle industrial do 
Irã. 
O Stuxnet foi desenvolvido para atacar somente em sistemas operacionais 
SCADA feita pela empresa Siemens (MCMILLAN, 2010). Este engenho norte-
americano / israelense foi desenhado para retardar o avanço do programa nuclear 
iraniano. 
O Stuxnet foi o primeiro worm16 que tinha um rootkit17 de CLP (Controlador 
Lógico Programável18), ou seja, ele tinha embutido comandos de baixo nível do 
sistema que tinha ação sobre o hardware, podendo reprogramá-lo sem que os 
funcionários notassem. 
 
14 Distributed Denial of Service (DDoS) - DDoS é o acrônimo de Distributed Denial of Service, um tipo 
de ataque em que um computador-alvo recebe uma quantidade tal de requisições que o 
sobrecarregam, tornando indisponíveis os serviços por ele oferecidos (OLIVEIRA, 2011). 
15 Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações 
danosas e atividades maliciosas em um computador (CERT.BR, 2013b). 
16 Worm - É um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si 
mesmo de computador para computador (CERT.BR, 2013b). 
17 Rootkit - É um conjunto de programas e técnicas que permite esconder e assegurar a presença de 
um invasor ou de outro código malicioso em um computador comprometido (CERT.BR, 2013b). 
18 CLP (Controlador Lógico Programável) – São também computadores, mas altamente 
especializados para controle de infraestrutura industrial como atuadores e sensores industriais. Os 
CLPs rodam um sistema operacional próprio chamado SCADA (Supervisory Control and Data 
Aquisition) e não dependem diretamente de sistemas operacionais de PC. Foi aí que o Stuxnet 
provavelmente atuou, carregando no CLP códigos mal-intencionados (SILVA, 2011). 
25 
 
 
 
O vírus19 conseguiu alterar a velocidade dos rotores das usinas nucleares e 
ao mesmo tempo enganava o sistema supervisor para que não detectasse qualquer 
anormalidade. Com isto, sem ser notado, superaquecia as plantas de produção até 
sua destruição. Quando se identificou que havia algo errado, os prejuízos estavam 
estabelecidos e o cenário era irreversível (FALLIERE; MURCHU; CHIEN, 2011). 
Segundo o relatório do jornal americano The New York Times, publicado em 
Agosto de 2013, os analistas de segurança cibernética suspeitam que este 
supervírus fosse um esforço conjunto norte americano-israelense, apelidado de 
“Olympic Games” (SANGER, 2012). 
Há muita especulação sobre a origem do Stuxnet. A Symantec e a Kaspersky 
concluíram que o seudesenvolvimento não poderia ter sido feito por usuários 
domésticos, mas somente pelo governo de algum país (FALLIERE; MURCHU; 
CHIEN, 2011). Constatou-se nas linhas de código do vírus que apresentavam 
registro de vários teclados do mundo, ou seja, ele pode ter sido desenvolvido em 
colaboração entre países, ou então isso foi feito apenas para cobrir rastros, não 
havendo ainda certeza sobre o que de fato ocorreu. 
Hoje, todo o código fonte do Stuxnet está disponível na internet, e a 
preocupação é como ele poderá ser alterado de maneira a ser reutilizado. Existem 
indícios de que dois outros vírus são frutos dele, o Duqu e o Flame, ambos com foco 
no roubo de informações (FERRAN, 2012). 
Esses eventos podem ser considerados como o início da primeira ciberguerra 
em escala global, o que deve ser visto não só por agências governamentais, mas 
por todos os profissionais responsáveis por sistemas críticos (SILVA, 2011a). 
 
19 Vírus – É um programa ou parte de um programa de computador, normalmente malicioso, que se 
propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos 
(CERT.BR, 2013b). 
 
26 
 
 
 2.5.3 Caso Duqu 
Em 2011, os profissionais da área de Segurança das Informações Digitais e 
GC tomaram conhecimento desta nova arma cibernética, mas suspeitava-se que 
este novo vírus poderia estar ativo desde 2007, segundo relatos de analistas da 
Kaspersky Lab. Ele é uma variação do Stuxnet e teve um projeto sofisticado para 
roubar dados dos sistemas e depois atacá-los. 
Os especialistas da Kaspersky verificaram que as vítimas eram infectadas por 
um malware introduzido através de um documento falsificado de Word, o qual, se 
aberto, desencadeia a instalação do Duqu. 
Este código malicioso (malware) se aproveitava de um zero-day do Sistema 
Operacional Windows para se hospedar e então fazer a coleta das informações. 
Após extensas pesquisas do Laboratório da empresa de computação Russa 
Kaspersky, os cientistas entenderam que esse foi um software desenvolvido como 
um sucessor ou uma ferramenta adicional do Stuxnet para um ataque cibernético 
direcionado (KEIZER, 2011). 
Até hoje não se sabe qual foi à linguagem de programação em que esse 
worm foi desenvolvido, nem seu desenvolvedor e o seu real motivo. Segundo 
COMPUTERWORLD (2012), os peritos anti-malware da Kaspersky Lab descobriram 
é que parte do programa parece ter sido desenvolvida com Object Oriented C (OO 
C), uma extensão arcaica personalizada para a linguagem de programação C. 
Enquanto a maior parte do Duqu foi escrito na linguagem C++ e compilado com o 
Microsoft Visual C++ 2008, o módulo de Comando foi escrito em C puro e compilado 
com Microsoft Visual Studio Compiler 2008 (MSVC 2008), usando duas opções 
específicas para manter o código pequeno. 
Após uma extensa análise feita pela Empresa Symantec Labs, foi verificado 
27 
 
 
 
que parte do Duqu foi feita baseando-se em segmento do código-fonte do Stuxnet, 
deixando entendido que a pessoa ou organização que desenvolveu tenha tido 
acesso ao código-fonte integral da versão original, ou ao menos, fez parte de seu 
desenvolvimento (GALLAGHER, 2011). 
A função do Duqu é roubar as senhas que são cruciais para a ação do 
Stuxnet, ou seja, o Duqu é um espião projetado para roubar informações das 
empresas que, provavelmente, seriam alvo da ação do Stuxnet. 
 
 2.5.4 Caso Flame 
Em 2012, uma nova ameaça cibernética é noticiada pela mídia mundial, onde 
o Oriente Médio é mais uma vez alvo de ataques cibernéticos. 
Inicialmente, o Flame não causava danos físicos aos computadores, pois ele 
foi projetado com intuito de roubar informações das máquinas infectadas, por meio 
da coleta de informações digitadas em campos de texto, gravação de áudio, captura 
de imagens e coleta de informações sobre aparelhos com Bluetooth desprotegido. 
Segundo Gris (2012), a Kaspersky descreve como um ataque toolkit, o que 
significa que ele tem componentes suficientes para fazer qualquer, desde abrir um 
backdoor 20, implantar trojans21 com várias finalidades e depois ir se espalhando 
como todo worm. 
Pesquisadores da empresa também confirmaram que os autores dos vírus 
Flame e Stuxnet cooperaram em algum momento, uma vez que o Stuxnet utilizava 
um código idêntico a um plugin do vírus Flame, criando a ligação entre os dois vírus 
(ROHR, 2012). 
 
20 Backdoor – É um programa que permite o retorno de um invasor a um computador comprometido, 
por meio da inclusão de serviços criados ou modificados para este fim (CERT.BR, 2013b). 
21 Torjan (cavalo de tróia) – É um programa que, além de executar as funções para as quais foi 
aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o 
conhecimento do usuário (CERT.BR, 2013b). 
28 
 
A sofisticação, o número restrito de alvos e a ausência de um interesse 
comercial claro indicam que o Flame teria sido patrocinado por um governo, de 
acordo com os especialistas, e seria, portanto, uma arma de ciberespionagem 
(NEWMAN, 2012a). A figura 2 mostra a disseminação desta praga no mundo. 
 
 
Figura 2 – Disseminação da ameaça Flame. 
Fonte: ROHR, 2012. 
 
 
 
29 
 
 
O Stuxnet foi o vírus responsável por sabotar o programa de enriquecimento 
de urânio do Irã em Natanz, conforme noticiado no jornal The New York Times. 
Enquanto o vírus Flame, por sua vez, não possui nenhum componente para danificar 
sistemas, mas apenas para capturar dados. Segundo a Kaspesky, o Flame é muito 
mais complexo que o Stuxnet, pois ele possui um conjunto de módulos que pode 
ocupar mais de 40 vezes o espaço em disco que o Stuxnet utilizava (CARVALHO, 
2012). 
30 
 
 
 3 MÉTODOS, TÉCNICAS E FERRAMENTAS DE ATAQUES 
Neste capitulo será abordado alguns métodos e técnicas mais importantes e 
algumas ferramentas utilizadas para realizar estes ataques. 
 
 3.1 MÉTODOS E TÉCNICAS USADOS EM UM ATAQUE CIBERNÉTICO 
Com a proliferação das redes de computador no mundo aliado ao avanço 
tecnológico, os ataques cibernéticos têm se tornado mais complexos e perigosos. 
Diante disso, é necessário fazermos um estudo mais detalhado sobre alguns 
métodos e técnicas de ataque que podem ser usados para atingir uma organização 
ou uma nação. 
 
 3.1.1 Port Scanning 
O Port Scanning é uma técnica de coleta de informações ou inteligência 
utilizada na fase de levantamento de informações, a qual é a primeira fase de um 
ataque e não caracteriza um ataque real. 
Esta técnica é utilizada tanto por hackers quanto por administradores de 
redes, a fim de criar um mapa de todos os hosts ativos e com características 
interessantes para possíveis verificações, documentações ou escaneamentos mais 
precisos. Um dos softwares mais conhecido que faz port scanning é o nmap 
(BRADLEY, 2012). 
Após a descoberta dos Hosts e identificação dos mais interessantes, o 
atacante passa para a fase de enumeração de serviços, podendo realizar um 
escaneamento de portas, para determinar seus serviços, versão e status. A partir 
das vulnerabilidades encontradas, é possível encontrar falhas de segurança, 
aumentando a chance de sucesso da invasão. 
31 
 
 
 3.1.2 Engenharia Social 
Com o crescimento do uso da internet e da tecnologia, as empresas estão 
investindo pesado na modernização de seus parques tecnológicos e na segurança 
deles, dificultando a exploração de vulnerabilidades e, com isso os invasores estão 
se especializando em explorar o fator humano, o qual é o principal problema da SI. 
Nada adianta trancar as portas de sua casa, manter cadeados ou sistemas de 
segurança que monitorem ou dificultem a entrada pelas portas, sendo que alguém 
de dentro de casa sempre abre as portas para o bandido. Dessa maneira, todo 
investimento vai por água abaixo (ALVES, 2010). 
A engenharia social é um método de ataque que utiliza o poder de influenciar 
e persuadir para enganaras pessoas e convencê-las de que o engenheiro social é 
alguém que na verdade ele não é. Como resultado, o engenheiro social pode 
aproveitar-se das pessoas para obter as informações com ou sem o uso da 
tecnologia (MITNICK; SIMON, 2003). 
Não existe uma empresa totalmente segura, uma vez que a falta de 
conscientização dos funcionários e a total confiança em si e nos equipamentos de 
proteção da rede são os principais motivos deste tipo de ataque ser tão eficiente. 
Para minimizar a possibilidade de ser uma vítima de engenharia social é 
necessário principalmente que haja divulgação constante da política de segurança 
da empresa, presença dos funcionários em cursos de capacitação e palestras de 
conscientização, regras severas de segurança das informações digitais e software 
de auditoria de acesso e monitoramento e filtragem de conteúdo (PEIXOTO, 2006). 
Algumas técnicas mais utilizadas neste tipo de ataque: 
 
32 
 
 
 
 3.1.2.1 Phishing 
É a técnica de engenharia social mais utilizada que explora não uma falha do 
sistema e sim no fator humano, para se conseguir acesso à rede-alvo ou 
informações sigilosas, por meio de e-mails manipulados e enviados às organizações 
e pessoas, com o intuito de aguçar algum sentimento que faça com que o usuário 
leia o e-mail e realize as operações solicitadas (RAFAEL, 2013). 
A maioria dos phishings possui algum anexo ou links dentro do e-mail que 
direcionam para a situação que o atacante deseja, e com as informações 
levantadas, é possível continuar o ataque mais direcionado. 
 
 3.1.2.2 Dumper Driver ou Trashing 
É a técnica utilizada para conseguir informações privilegiadas que 
potencializem as tentativas de quebra de senha e invasões, por meio da procura de 
informações em lixeiras, aproveitando a falta instrução dos usuários e técnicos no 
descarte de informações sigilosas. 
Para diminuirmos o risco de acesso não autorizado, perda ou roubo de 
informações, devemos seguir regras de descarte da informação de acordo com o 
seu grau de sigilo, utilizar os trituradores de papel, apagar as trilhas magnéticas do 
Disco Rígido (HD) 22, fazer a manutenção do lixo nas áreas de acesso restrito, 
acompanhar todos os visitantes enquanto estiverem no local e realizar a política de 
mesa limpa de papeis e mídias de armazenamento removível e política de tela limpa 
para os recursos de processamento da informação23. 
 
22 Disco Rígido (Hard Disk) - É um sistema de armazenamento de alta capacidade, que permite 
armazenar arquivos e programas (MUSEU, 2004). 
23 Política da Mesa limpa e tela Limpa definem diretrizes que reduzem o risco de uma violação de 
segurança, perda e roubo de informações, causados por documentos digitais ou escritos à mão 
33 
 
 
 
 3.1.3 Denial-of-Service (DoS) 
Os ataques de negação de serviço são feitos não com o objetivo de invadir o 
sistema, mas sim com o propósito de torná-lo indisponível, por meio do consumo 
total da largura de banda de uma rede específica ou por inanição de recursos, onde 
o ataque se dá pelo consumo de todos os recursos do sistema, fazendo com que ele 
deixe de responder a requisições de usuários válidos. 
Apesar de não causarem a perda ou roubo dos dados, os ataques DoS são 
graves, pois deixa a rede indisponível quando um usuário precisa utilizá-la, ferindo 
uma das propriedades essenciais da SID, a qual garante que a informação estará 
disponível para o usuário e para o sistema de informação que está em operação no 
momento que a organização requer (ISO 27002, 2005). 
A gravidade deste ataque está relacionada ao tempo do sistema estar fora do 
ar, à perda de credibilidade e ao trabalho físico envolvido em identificar e reagir a 
tais ataques. 
Este método de ataque pode ser realizado em redes cabeadas e em redes 
sem fio. Nestas últimas, como todos os equipamentos sem fio utilizam a mesma 
frequência, então quando funcionam próximos podem causar degradação do sinal, 
fazendo com que a capacidade e a qualidade diminuam. Diante disso, o atacante, 
com o equipamento apropriado, pode enviar uma grande quantidade de trafego 
aleatório na mesma frequência do roteador, fazendo fazer com que a rede fique 
indisponível. 
 
deixados sobre a mesa ou em impressoras, acesso a computadores sem senha de proteção de tela, 
ou mesmo, acesso a dispositivos removíveis expostos em locais desprotegidos (ISO 27002, 2005). 
34 
 
 
 
No entanto, existem ataques mais sofisticados, como por exemplo, um 
atacante se passando por um ponto de acesso com o mesmo ESSID24 (Extended 
Service Set Identifier) e endereço MAC25 de outro ponto de acesso válido enchendo 
a rede com pedidos de dissociação. Estes pedidos fazem com que os clientes sejam 
obrigados a se desassociarem e se reassociarem. Enviando as requisições de 
dissociação em períodos curtos de tempo, o DoS é concretizado, uma vez que os 
clientes não conseguiriam permanecer conectados por muito tempo (DUARTE, 
2003). 
Algumas técnicas de DoS: 
 
 3.1.3.1 Distributed Denial-of-Service (DoS) 
Este ataque é a soma de dois conceitos do mundo da TI: negação de serviço 
e computação distribuída (SACHDEVA; SINGH; SINGH, 2011). 
Embora os ataques de DDoS já existam há mais de uma década, a dimensão 
e a frequência desses ataques estão aumentando mais rápido do que a capacidade 
da maioria das organizações de absorvê-los. 
O ataque DDoS é dado, basicamente, em três fases: uma fase de 
levantamento das vulnerabilidades das redes-alvos e exploração, que é o objetivo de 
obter acesso privilegiado nessas máquinas. 
Na segunda fase, o atacante instala software DDoS nas máquinas invadidas 
(agentes), com o intuito de montar a rede de ataque. E, por último, a fase onde é 
lançado algum tipo de inundação de pacotes contra uma ou mais vítimas, 
consolidando efetivamente o ataque. 
 
24 ESSID (Extended Service Set Identifier) – É o nome da rede, que deve ser conhecido tanto pelo 
concentrador quanto pelo cliente que deseja conexão (RUFINO, 2011) 
25 Endereço MAC - É o endereço físico da placa de rede, conforme disponível em http://www. 
mundodoshackers.com.br/o-que-e-um-endereco-mac (TÁCIO, 2010). 
35 
 
Assim que o atacante ordena o ataque, uma ou mais máquinas vítimas são 
bombardeadas por um enorme volume de pacotes, resultando não apenas na 
saturação do link de rede, mas principalmente na paralisação dos seus serviços. 
A figura 3 e dada uma clara visão de como é feito um ataque DDoS. 
 
 
Figura 3 – Ataque DDoS . 
Fonte: SOLHA, 2004. 
 
 
Em um mundo em constante crescimento, cada vez mais interconectado e 
complexo, pode ser difícil para as organizações se anteciparem ao próximo ataque 
ou atividade maliciosa, então existem alguns passos que podem ser tomados para 
tornar efetiva a detecção. Algumas anomalias podem sinalizar a ocorrência deste 
tipo de ataque. São elas: 
1. Excesso de tráfego: Aumento repentino de atividades de processamento e 
consumo total da banda, ultrapassando o número de acessos esperado. 
 
36 
 
 
 
2. Pacotes UDP26 e ICMP27 de tamanho anormal: Grande parte das sessões UDP 
utilizam pacotes mínimos de dados com tamanhos entre 512 e 1280 bytes. As 
mensagens ICMP são de tamanhos diferenciados não sendo maiores de 128 bytes. 
Pacotes de dados que saiam desses padrões podem ser considerados suspeitos de 
terem códigos maliciosos e estarem participando de um ataque (principalmente se 
forem em grandes quantidades). 
3. Pacotes TCP e UDP que não fazem parte de uma conexão: Alguns ataques do 
tipo DDoS fazem uso vários protocolos aleatórios para enviar dados sobre meios 
não orientados à conexão. A detecção pode ser realizada empregando um statefullfirewall28. 
4. Pacotes binários: Quando os dados de pacotes forem recebidos somente em 
dados binários e o seu destino for para diferentes protocolos, eles devem ser 
analisados e, dependendo do caso, descartados. Pacotes binários podem estar 
escondendo algum comando de controle de máquina embutido em seu código 
binário. 
Segundo Maia (2003), ainda hoje não existe uma solução definitiva para este 
tipo de ataque. O que existem são métodos que podem ser concatenados e 
utilizados para minimizar os riscos e proteger um determinado sistema. Para isso é 
necessário: 
• Aumentar o nível de segurança dos ativos de rede, realizando as atualizações de 
segurança, instalando patches que possam fechar as brechas de vulnerabilidades 
conhecidas, a fim de dificultar a formação das redes DDoS; 
 
26 User Datagram Protocol (UDP) - É um protocolo orientado à transação, que provê um serviço sem 
conexão, não garantindo a entrega e duplicação dos pacotes. (RFC 768, 1980). 
27 Internet Control Message Protocol (ICMP) - É um protocolo usado para relatar um erro no 
processamento de datagramas, utilzando o suporte de base do IP. (RFC 792, 1981). 
28 Statefull-firewall - É um Firewall que mantém o estado das conexões (NORTHCUTT, 2005). 
 
37 
 
 
• Implementar mecanismos anti-spoofing para evitar a movimentação de pacotes 
com endereços falsificados pela internet; e 
• Limitar a banda disponível para os pacotes utilizados no ataque, por meio de 
configurações nos equipamentos de conectividade. 
 
 3.1.3.2 Distributed Reflection Denial-of-Service (DDoS) 
Este novo tipo de negação de serviço que se aproveita de duas falhas em 
serviços de internet, a falsificação da origem (IP Spoofing) e servidores DNS 
recursivos abertos, pois menos botnets são necessários para gerar grandes volumes 
de tráfego de ataque, devido às técnicas de reflexão e ampliação (DUNN, 2013).
 Impulsionados pela facilidade de obter listas de servidores vulneráveis para 
ser usado em ataques aliado ao alto grau de anonimato, fazem com que os 
cibercriminosos mudem suas táticas em ataques DDoS e consigam ser bem mais 
devastadores. Tal fato levou os principais veículos de imprensa internacional, como 
a BBC e o New York Times, a noticiarem como o maior ataque cibernético da 
história, que deixaram a internet inteira lenta (LINHA DEFENSIVA, 2013). 
De acordo com pesquisa feita pela Empresa de mitigação Prolexic, baseada 
no levantamento do terceiro trimestre de 2013, estes ataques de reflexão tiveram um 
aumento de 265% comparado com o mesmo período de 2012, afirmou o presidente 
da Prolexic, Stuart Scholly (SEGINFO, 2013). 
Para realizar este ataque, as máquinas escravas enviam um fluxo de pacotes, 
com o endereço de origem falsificado, para outras máquinas não infectadas, 
conhecidas como refletores, os quais conectam com a vítima e enviam um grande 
volume de tráfego. O ataque é montado pelas máquinas não comprometidas 
(refletores) sem estarem cientes da ação. 
38 
 
O sequestro de intermediários para amplificar o efeito fez com que este 
projeto criasse duas vítimas, o alvo pretendido e o intermediário (HENRIQUE, 2013), 
conforme mostrado na figura 4 abaixo. 
 
 
 
 
 
 
 
 
 
 
 
Figura 4 – DRDoS. 
Fonte: FERRAZO, 2011. 
 
 
 
 3.1.3.3 SYN Flood ou TCP SYN Flood 
É uma técnica de ataque DoS, que atua na requisição de abertura de 
conexões TCP29, onde o atacante envia para o servidor-alvo uma grande quantidade 
de pacotes SYN30 (SCHLEMER, 2007). 
Quando é feita qualquer requisição TCP a um servidor, há uma troca de 
pacotes e comumente conhecida como o processo de handshake de três vias 
(Three-Way Handshake) 31, conforme mostrado na figura a seguir. 
 
29 Transmission Control Protocol (TCP) - É um protocolo orientado à conexão e fornece um serviço de 
entrega de pacotes confiável (RFC 793, 1981). 
30 Pacotes SYN - É uma solicitação de sincronização enviada pelo cliente ao servidor para 
estabelecer o sincronismo (SCHLEMER, 2007). 
31 Three-Way Handshake - É o processo para estabilizar a conexão TCP/IP entre o cliente e o 
servidor (TCP/IP GUIDE, 2005). 
39 
 
 
Figura 5 - Three-Way Handshake. 
Fonte: TCP/IP GUIDE, 2005. 
 
 
Este processo é iniciado quando cliente envia uma solicitação de 
sincronização com o flag SYN ativado, no campo flag do header TCP, com número 
de sequência 0 (Seq=0), para o servidor. 
Se o servidor quiser e puder atender, ele devolve ao cliente uma solicitação 
de sincronização com os flags de SYN e de ACK ligados e com número de 
sequência 0 (Seq=0). Esta segunda etapa é conhecida como SYN/ACK. 
Se o cliente ainda quiser manter a conexão, devolve ao servidor um terceiro 
pacote sem dados, apenas com o flag de ACK ligado (SYN desligado) e o número 
de sequência 1 (Seq=1). 
Somente após esta etapa é que os dados podem ser trocados (SCHLEMER, 
2007). 
O mais importante para entender a gravidade do ataque é saber que o 
servidor, ao receber o primeiro pacote (SYN), se ele quiser, precisa antes de 
 
40 
 
 
 
responder com o SYN/ACK, alocar recursos de hardware para atender esta nova 
conexão. 
Como o TCP é um protocolo confiável, que trata de desordenamento e perdas 
de pacotes, estes recursos não são poucos, pois envolvem buffers de envio e de 
recebimento, controle de números de sequência, relógios, enfim, muitos recursos de 
memória, principalmente. 
 Nesta técnica de ataque, o atacante gera quantos SYN a máquina dele for 
capaz e não responde nenhum deles, então o servidor alocará recursos para cada 
um, como se fossem requisições legítimas, só desalocando quando acabar o tempo. 
Atualmente, temos hardware com capacidades de memória e recursos 
gigantescos, mas não existem recursos infinitos. Mais cedo ou mais tarde os 
recursos se esgotarão e o servidor ficará incapaz de atender clientes legítimos. 
Um ataque de SYN Flood e feito utilizando IP de origem falsificado (spoofing), 
para que o atacante não receba os ACKs de suas falsas solicitações (CARNEGIE, 
2000). 
Existem medidas que podem prevenir estes ataques em alguns servidores. A 
solução por firewall não é o suficiente para resolvermos este tipo de ataque, então a 
técnica de SYN Cookies32 permite que o servidor escolha o seu número de 
sequência por meio de uma função hash de 32 bits, onde serão consideradas 
informações como IP/Porta do cliente e dados que só o servidor tem. O servidor 
gera este número e não aloca recursos (RFC 4987, 2007). 
 
32 SYN Cookies – É a técnica de proteção usada contra os ataques de SYN Flood. Número de 
sequencia de 32 bits codificado com uma função hash inserido no SYN-ACK pelo servidor (RFC 
4987, 2007). 
41 
 
 
 
Quando vier o último pacote do Three-Way Handshake, o servidor refaz o 
cálculo do Hash, e verá que nenhum dado foi alterado, podendo concluir que o 
cliente é legítimo. 
Com esta técnica, o atacante está impossibilitado de realizar o ataque de SYN 
Flood, pois ele não recebe o pacote SYN/ACK, pois como ele falsificou o IP 
(spoofing), então este pacote foi para o IP falso. Logo o atacante não conhece o 
valor do número de sequência do servidor para poder devolvê-lo incrementando de 
um, como realizado no segundo passo do Three-Way Handshake (RFC 4987, 2007). 
Só resta ao atacante tentar quebrar o hash de 32 bits, o que não é uma tarefa 
difícil, mas precisaria de uns 3 segundos para quebrar, isto já é uma eternidade para 
que o SYN Flood realmente cause uma negação de serviço. 
 No Linux, isso pode ser evitado, ativando o uso do recurso oferecido 
diretamente pelo Kernel33, por meio da inclusão do seu script no firewall e ativação 
do TCP syncookie no kernel. 
Ao ativar o recurso, o sistema passa a responder ao pacote SYN inicial com 
um cookie, que identifica o cliente. Com isso, o sistema aloca espaço para a 
conexãoapenas após receber o pacote ACK de resposta, tornando o ataque sem 
sucesso. O atacante ainda pode consumir um pouco de banda, obrigando o servidor 
a enviar um grande volume de SYN Cookies de resposta, mas o efeito sobre o 
servidor será mínimo (MORIMOTO, 2010). 
 
 3.1.3.4 UDP Flood 
É uma técnica de ataque DoS, diferenciada do TCP SYN Flood, porque a 
comunicação UDP não estabelece conexão, ou seja, não faz o Three-Way 
 
33 Kernel - É uma série de arquivos escritos em linguagem C e em linguagem Assembly que 
constituem o núcleo, o centro de todas as atividades desempenhadas pelo sistema operacional 
(PIRES, 2007). 
42 
 
 
 
Handshake. Por esse motivo, o atacante pode enviar pacotes UDP aleatórios para 
todas as portas que porventura estejam abertas no servidor (SOLHA, 2004). 
Quando o servidor recebe os pacotes UDP enviados pelo atacante, ele tenta 
tratar e determinar as requisições feitas naquelas determinadas portas em que foram 
recebidos os pacotes. Porem, quando o servidor verifica que não existe nenhuma 
aplicação aguardando tal pacote recebido, ele então emite um pacote ICMP para o 
destinatário (provavelmente para um endereço IP falso ou forjado), comunicando o 
fato de não ter encontrado o pacote no serviço solicitado. Quando esses pacotes 
são em grande quantidade, o sistema poderá ser comprometido causando assim 
uma negação de serviço. 
 
 3.1.3.5 Smurf 
O Smurf é uma técnica de ataque de DoS, com o objetivo não de parar só um 
computador, mas sim uma rede inteira (BOFF, 2009). 
O atacante envia tráfego ICMP echo request (ping)34 para um IP de 
broadcast35 da rede, utilizando o endereço de origem falsificado da vítima. O 
roteador receberá os ICMP echo request e redirecionará para todos os hosts da 
rede. 
Esta técnica faz com que cada computador da rede responda aos falsos 
pacotes de ping e envie uma resposta (ICMP echo reply) ao computador de destino, 
inundando-o (SYMANTEC, 2014), resultando em degradação do serviço, ou mesmo, 
negação de serviços para aquele segmento de rede, dado o elevado volume de 
tráfego gerado. 
 
34 Ping – É uma sigla para Packet InterNet Grouper. É um comando capaz de medir quantos 
milissegundos (ms) um pacote de informações leva para ir até um destino e voltar (GUILHERME, 
2012). 
35 Endereço de broadcast - É o endereço comum usado para transmitir uma mensagem a todos os 
hosts em uma rede (SYMANTEC, 2014) 
43 
 
 
 
Em muitos casos, os administradores de rede podem evitar que suas redes 
sejam utilizadas como amplificadores36, bloqueando nos firewalls a entrada de 
pacotes ICMP/UDP que tenham como destino o endereço de broadcast da rede e 
desativar os serviços que não estão sendo utilizados pelos computadores de rede 
(BOFF, 2009). 
 
 3.1.3.6 Fraggle 
Esta técnica de ataque semelhante ao Smurf, a qual utiliza pacotes UDP. Em 
vez de enviar pacotes de ICMP echo response, ele envia pacotes UDP, com 
endereço de origem falsificado, para os endereços de broadcast da rede. As 
máquinas da rede ao receberem o pacote UDP respondem à vítima, a qual envia 
mais uma resposta, gerando uma grande quantidade de tráfego na rede (BOFF, 
2009). 
 
 3.1.3.7 Ping Flood 
Este método de ataque é um dos mais antigos e simples, mas não muito 
eficaz atualmente, uma vez que o seu objetivo é saturar a rede com tráfego ICMP 
Echo Request, exigindo que a vítima gaste todo seu tempo de CPU para responder 
os pacotes falsos. (TOMICKI, 2010). 
Este ataque envia um pacote mal formado explorando uma falha do sistema, 
sendo reforçado por meio do envio de pacotes grandes (superior a 65536 octetos), 
forçando os roteadores de borda a gastar muito tempo para realizarem a 
fragmentação destes pacotes. 
 
36 A rede está sendo usada como amplificador quando não só aceita ICMP echo requests enviados 
para um endereço de broadcast, mas que permite ICMP echo replies enviados para fora (BOFF, 
2009). 
44 
 
 
Algumas maneiras de se proteger é filtrando a entrada de pacotes ICMP Echo 
Request na rede, bloquear pacotes acima do tamanho limite no firewall ou no IDS 
(TOMICKI, 2010) e aplicar o último patch de atualização do Sistema Operacional. 
 
 3.1.4 Man-in-the-Middle (MITM) 
Este método de ataque consiste basicamente em o atacante se infiltrar na 
comunicação entre duas partes, interceptar os dados, manipulá-los e retransmiti-los 
sem que nenhuma das partes perceba (JORGE, 2011). 
Segundo Kaspersky (2013), uma variante deste método de ataque e a forma 
mais comum de MITM, o atacante, com o objetivo de roubar informações, usa um 
roteador sem fio como mecanismo para interceptar o tráfego de dados existente na 
comunicação de suas vítimas, o que pode acontecer tanto por meio de um roteador 
corrompido quanto por falhas na instalação do equipamento. 
Numa situação comum, o atacante configura o seu dispositivo wireless para 
atuar como access point (AP) e o nome com um título comum em redes públicas. 
Então quando um usuário se conecta ao roteador e tenta navegar em sites com 
informações sigilosas, como banco ou comércio eletrônico, o invasor rouba suas 
credenciais. 
Num caso recente noticiado no blog da empresa Kaspersky, um hacker usou 
vulnerabilidades na implementação de um sistema criptográfico de uma rede WiFi 
real e a usou para capturar informações. Esta é a situação é mais incomum, mas 
também a mais lucrativa, pois se o atacante for persistente e acessar o equipamento 
hackeado por algum tempo, ele terá a possibilidade de capturar as sessões de seus 
usuários e, com isso, ter acesso às suas informações sigilosas. 
45 
 
 
 
Existem diferentes maneiras de defender-se dos ataques MITM, mas a 
maioria delas deve ser instalada nos roteadores e servidores e não são totalmente 
seguras. 
Uma delas é aplicar uma criptografia complexa entre o cliente e o servidor, 
sendo que o servidor pode identificar-se apresentando um certificado digital para 
que o cliente possa estabelecer uma conexão criptografada e, assim, enviar a 
informação sensível. Mas esta possibilidade de defesa depende de que ambos 
servidores tenham tal criptografia habilitada. 
Da mesma forma, os usuários também podem se prevenir de ataques MITM 
da seguinte forma: 
- evitar se conectar a WiFi livres; 
- instalar plugins, como HTTPS Everywhere ou ForceTLS em seu navegador, uma 
vez que estes programas selecionarão apenas conexões seguras sempre que estas 
estejam disponíveis (KASPERSKY, 2013); 
- utilizar, sempre que possível, SSL/TLS37 em suas conexões, principalmente em 
conexões irão ser transmitidos dados importantes; 
- verificar certificados SSL antes de usá-los; e 
- utilizar dispositivos de autenticação, como tokens ou outras formas de autenticação 
de dois fatores, para acessar contas que contenham informações sensíveis e 
confidenciais. 
 
 3.1.5 Web Defacement 
Este método de ataque, também conhecido como pichação de site, é 
teoricamente simples e pode colaborar para uma ação mais complexa a ser 
 
37 SSL/TLS – São protocolos que permitem a comunicação segura na internet. O TLS é o sucesor do 
SSL (SAUVAGE, 2014). 
https://www.eff.org/https-everywhere
http://forcetls.sidstamm.com/
46 
 
 
executada no alvo. Geralmente estes ataques tem uma intenção política ou de 
inteligência, a fim de desestabilizar o adversário, afetando seu emocional, alertar 
para um sistema não crítico da ação a ser executada, desviando a atenção do real 
alvo. 
Neste ataque o hacker explora vulnerabilidades e bugs de segurança em 
páginas da web para modificá-las, como por exemplo, algum código HTML errado, 
algum formulário de contato mal configurado, página índex com erros na codificação. 
Diante desta brecha, o atacante insere um código malicioso que faz a troca da 
página principal do site, outras vezes, ele identifica o IP doservidor onde está 
hospedado o site e insere o código malicioso (REYES, 2010). 
A solução para evitar novos ataques deste tipo é inserir alguns códigos de 
segurança na página, fechar toda brecha de codificação e desabilitar os serviços 
desnecessários que estão rodando no servidor web. 
Em 2011, uma onda de invasões de hackers em sites oficiais nos Estados 
Unidos e Europa atingiram os sites brasileiros. As páginas do Governo Federal, da 
Presidência da Republica e de algumas empresas foram alvos de ataques da versão 
brasileira do grupo hacker LulzSec. Os ataques congestionaram as redes onde as 
páginas estavam hospedadas, deixando os sites fora do ar durante um curto 
período. O objetivo do grupo era roubar informações sigilosas e expô-las na internet 
(VERLY, 2011). 
 
 3.2 FERRAMENTAS DE ATAQUE 
Atualmente, constatamos que os ataques cibernéticos vêm se tornando um 
problema cada vez mais grave no mundo, pois novas técnicas e ferramentas surgem 
47 
 
 
 
a cada instante e estão mais eficientes. Diante disso, vamos analisar mais 
detalhadamente alguns artefatos de ataque. 
 
 3.2.1 Varredura de rede 
É um dos primeiros para passos do atacante para fazer o levantamento das 
vulnerabilidades da vítima, mas também pode ser usado por administradores de 
rede, a fim de tornar seus ativos de rede mais seguros. As ferramentas mais usadas 
são detalhadas abaixo: 
 
 3.2.1.1 Nmap e Nessus 
São as melhores ferramentas livres utilizadas para fazer uma varredura na 
rede e auditoria de segurança, que permitem verificar algumas características da 
rede, status de serviços que estão rodando nos hosts, informações sobre o seu 
Sistema operacional. 
O Nessus possui versão paga e free, funcionando por meio de pluggins 
instalados e indica as vulnerabilidades detectadas e os passos que devem ser 
seguidos para eliminá-las. 
 
 3.2.1.2 Aircrack-ng e Aerodump 
É uma suíte de ferramentas relacionadas à wardriving utilizadas para captura 
de redes sem fio 802.1138, onde é possível mapear, traçar e quebrar a chave destas 
redes. 
O aerodump-ng é usado para capturar pacotes de dados brutos em redes 
sem fio, coletando informações dos Access Points (AP) e computadores detectados 
 
38 O padrão IEEE 802.11 foi projetado para oferecer comunicação sem fio com alta largura de banda, 
fornecendo serviços que podem migrar de uma célula para outra com frequência, ou seja, é um 
padrão criado para lidar com mobilidade (TANENBAUM, 2003). 
48 
 
 
 
e gravando em um arquivo, para posteriormente injetar os frames, utilizando o 
Aireplay-ng e, em seguida, fazer o ataque para quebra da senha com o Aircrack-ng. 
 
 3.2.1.3 Nikto 
É um software de código aberto, instalado no Backtrack 539, usado como 
scanner de vulnerabilidades em servidores Web, sendo possível verificar as 
configurações destes servidores, como os arquivos índex e opções do servidor 
HTTP. 
 
 3.2.2 Negação de serviço 
É um ataque em que o inimigo consegue colocar um sistema-alvo inutilizável 
ou sobrecarrega-o, de modo que não pode ser utilizado por usuários legítimos. 
Existem várias ferramentas que podem ser utilizadas para este tipo de ataque e 
algumas serão detalhadas abaixo: 
 
 3.2.2.1 Trinoo 
O Trinoo (ou Trin00) é uma ferramenta de ataque, usada para lançar ataques 
do tipo DDoS, especialmente para ataques do tipo UDP flooding. 
Originalmente ela foi desenvolvida para Sistemas Operacionais Solaris 2.X ou 
Linux, porém, com a sua evolução, foram aparecendo também para plataformas 
Microsoft Windows (MARTINEZ, 2000). 
Segundo Dittich (2009), o esta ferramenta é dividida em duas partes, a parte 
controladora (master) e a parte que é controlada (client). O componente master 
 
39 BackTrack 5 - é um Sistema Operacional Linux que possui mais de 300 ferramentas diferentes e 
atualizadas, que são logicamente estruturadas de acordo com o fluxo de trabalho de profissionais de 
segurança, utilizado para realizar testes de segurança e de penetração, conforme disponível em 
http:// www.backtrack-linux.org. 
49 
 
 
possui uma unidade controladora do Trinoo que é secretamente instalada no 
computador da vítima. Essa unidade tem a missão de distribuir muitos pacotes UDP 
destinados a um determinado servidor. 
Ao tentar processar tais pedidos, respondendo com uma mensagem "ICMP 
Port Unreachable" para cada pacote UDP invalido recebido, este servidor esgota 
seus recursos, o que resulta numa recusa de serviço (DoS). 
O Trinoo também possui um componente cliente que é usado para controlar 
um ou mais componente master remotamente e enviar vários comandos. 
A comunicação entre o master Trin00 e os agentes é feita via pacotes UDP na 
porta 27444/udp ou via pacotes TCP na porta 1524/tcp. A comunicação entre os 
agentes e o master Trin00 também é através de pacotes UDP, mas na porta 
31335/udp. Quando um daemon é inicializado, ele anuncia a sua disponibilidade, 
enviando uma mensagem ("*HELLO*") ao master, o qual mantém uma lista dos IP 
das máquinas agentes ativas, que ele está controlando (DITTRICH, 2009). 
 
 3.2.2.2 Tribe Flood Network (TFN) 
 O TFN é uma ferramenta usada para lançar ataques DoS coordenados em 
direção a uma ou mais vítimas, a partir de várias máquinas comprometidas, da 
mesma forma que o Trinoo. Além de serem capazes de gerar ataques do tipo UDP 
flood, uma rede TFN pode gerar ataques do tipo SYN flood, ICMP flood e 
Smurf/Fraggle. O atacante não precisa se conectar ao operador (MCCLURE, 2003). 
Neste tipo de ataque é possível forjar o endereço do remetente dos pacotes 
lançados às vítimas, o que dificulta qualquer processo de identificação do atacante. 
50 
 
 
 
No caso especifico de lançar o ataque Smurf/Fraggle para atingir a(s) 
vítima(s), a inundação de pacotes é enviada às redes intermediarias, as quais 
consolidarão o ataque. 
O controle remoto do componente master TFN é realizado por meio de 
comandos executados pelo programa cliente. A conexão entre o atacante e o 
cliente pode ser realizada usando qualquer um dos métodos de conexão 
conhecidos, tais como: RSH, RLOGIN e TELNET40. 
 A comunicação entre o cliente TFN e os daemons é feita via pacotes ICMP 
echoreplay, não existindo comunicação TCP ou UDP entre eles. 
Não é necessário inserir senha para executar o cliente, no entanto, e 
indispensável à lista dos IP das máquinas que tem os daemons instalados. Algumas 
versões da aplicação cliente usam criptografia para ocultar o conteúdo desta lista 
(DITTRICH, 1999). 
 
 3.2.2.3 Stacheldraht 
É uma ferramenta de ataque usada para lançar ataques DDoS que combina 
características do Trinoo e do TFN, adicionando a criptografia simétrica da 
comunicação entre o atacante e o master e atualização automática dos agentes 
(SOLHA; TEIXEIRA; PICCOLINI, 2000). 
Como seu predecessor TFN, ela também é capaz de gerar ataques DoS do 
tipo UDP flood, TCP flood, ICMP flood e Smurf/fraggle. 
A ideia de criptografia da comunicação entre a unidade controladora e a 
unidade controlada surgiu devido à deficiência encontrada nas ferramentas 
 
40 RSH, RLOGIN e TELNET - permitem acessar remotamente outro computador, mas as conexões 
não utilizam criptografia, então os dados trafegam de forma desprotegida e caso exista algum sniffer 
na rede, poderá capturar todo o tráfego. 
51 
 
 
 
anteriores, onde a conexão entre eles era completamente desprotegida, estando 
exposta ao ataque de roubo de sessão (TCP Session Highjacking41) (SOLHA; 
TEIXEIRA; PICCOLINI, 2000). 
A comunicação entre o cliente e o master é feita via pacotes TCP na porta 
16660/tcp e entre o master e o cliente via pacotes ICMP echoreplay na porta 
65000/tcp. 
 
 3.2.2.4 T50 
É uma ferramenta simples e poderosa de injeção de pacotes, desenvolvida 
pelo